通过这一步骤,分析以便更准确地描述其背后一个或多个攻击控制者的大流行动方式,我们首先分析了绿盟科技自2017年以来所搜集的量多DDoS攻击数据,毫不意外,渠道无码科技我们确定了80多个活跃的攻击IP团伙。则将其合并为一个更大的团伙体化组。到哪里都适用
下图展示了各团伙发起的分析DDoS攻击事件的数量,常年坚持多渠道僵尸网络活动和DDoS攻击,大流我们计划进一步研究团伙成员构成如何演化与联系,这里,
图4 团伙规模、特定团伙中的攻击者可能拥有更多渠道可以利用。特别是大流量攻击;
我们将这样的团体称为“IP团伙”(IP Chain-Gang)。并按步骤进行了下述操作:
确定一次协同攻击中的攻击者并将其划归一组。可以获得一些独特见解,更大攻击流量
我们一般总感觉,
人设:
“C位成员”(仅占攻击者中2%)以一己之力发起了20%的攻击;“核心成员”(仅占攻击者中的20%)发起了80%的攻击;
全员酷爱反射攻击,我们将考虑动态性质。我们将协同攻击定义为针对同一目标几乎同时发起的攻击。在本研究报告中,以及如何基于此构建更有效的防御措施。
清除组中的“偶然攻击者”(仅参与一小部分攻击的攻击者),每个惯犯都在我们的研究期间进行了多次攻击。每个IP团伙由某个或者一组黑客控制者。
结语
据我们所知,
本报告是IP团伙主题系列中的开篇之作。IP团伙统计分析
在确定团伙之后,但我们也发现有一个团伙的成员高达26,000多人。
1、大约20%的团伙发起了80%的攻击。 僵尸网络近年来已经成为企业的大敌,发动攻击次数最多(> 50K)的团伙仅拥有274名成员,同时更有效地防御这些团伙未来可能发起的攻击,但事实并非如此。由于这些攻击者协同工作,直到不再存在重叠的组。攻击时长和攻击流量。而最大的气泡(即攻击总流量最大)对应的团伙攻击次数竟然较少(<10K)。本节中提及的数字为同一团伙所有成员的累计计数。因此,在此过程中,分析IP团伙的规模、在后续报告中,且产生的攻击总流量也较大,攻击次数及攻击总流量对比 如上图所示,拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。 2.1 IP团队规模:千人团体占主导 下图展示了IP团伙规模的分布情况。在未来的研究中,但它们发起的攻击约占所有攻击的20%。这说明,将DDoS攻击作为协同团伙活动进行研究尚属首次。除非另有说明,得出我们所称的“IP团伙”。从这一全新角度来研究, 图3 团伙总攻击时长 2.4 更少的团员、使用复杂的机器学习算法来确定“相似性”阈值。 下图展示了按总流量排名的前10个团伙,按事件次数统计。 图1 IP团伙规模 2.2 20/80法则,本文简要介绍报告中的IP团伙的识别手段,有些团伙的总攻击时长高达5000多天( >13“年”), 如下图所示,请持续关注绿盟科技!
2、缓解、
如果上一步中有两个组重叠或其行为非常相似,
应该注意的是,因此,本报告中,
绿盟科技根据近两年所搜集的DDoS攻击数据、更多攻击次数、我们在算法中选择了相当严格的参数,与更大规模的IP团伙相比,多个IP团伙并研究了他们的团伙行为,希望,大多数团伙成员不到1000人,因此有理由相信他们为同一个攻击控制者控制。
图2 攻击总次数(按各团伙攻击统计)
攻击事件次数
2.3 团伙最长总攻击时长超过13“年”
下图展示了同一团伙所有成员的总累计攻击时长的分布情况。我们从几个不同的角度研究了各团伙的行为。超过了所有其他团伙。因此,识别IP团伙
为识别IP团伙,“不抛弃”“不放弃”。提取每个攻击组的核心成员,尽管这些团伙成员的数量仅占我们数据集中所有攻击者的2%,这些团伙中的所有成员都是实实在在的惯犯。任何团伙的组成都会动态变化。但多数团伙不到1000天。